<html>
<head>
<style><!--
.hmmessage P
{
margin:0px;
padding:0px
}
body.hmmessage
{
font-size: 10pt;
font-family:Tahoma
}
--></style>
</head>
<body class='hmmessage'><div dir='ltr'>
Hi,<BR>
&nbsp;<BR>
Thanks for&nbsp;your reply.<BR>
I did, but it still keeps&nbsp;the IP address, so I removed it.<BR>
&nbsp;<BR>
These are my options:<BR>
&nbsp;<BR>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; long_hostnames(off);<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # doesn't actually help on Solaris, log(3) truncates at 1024 chars<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; log_msg_size(8192);<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # buffer just a little for performance<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # sync(1); &lt;- Deprecated - use flush_lines() instead<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; flush_lines(1);<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # memory is cheap, buffer messages unable to write (like to loghost)<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; log_fifo_size(16384);<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # Hosts we don't want syslog from<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; #bad_hostname("^(ctld.|cmd|tmd|last)$");<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # The time to wait before a dead connection is reestablished (seconds)<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; time_reopen(10);<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; #Use DNS so that our good names are used, not hostnames<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; use_dns(no);<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; dns_cache(yes);<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; #Use the whole DNS name<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; use_fqdn(no);<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keep_hostname(no);<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; chain_hostnames(no);<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; #Read permission for everyone<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; perm(0644);<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # The default action of syslog-ng 1.6.0 is to log a STATS line<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # to the file every 10 minutes. That's pretty ugly after a while.<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # Change it to every 12 hours so you get a nice daily update of<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # # how many messages syslog-ng missed (0).<BR>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; # stats(43200);<BR>&nbsp;<BR>
Thanks,<BR>
Ricardo.<BR>
&nbsp;<BR>
<DIV>
&gt; Date: Wed, 6 Jul 2011 09:04:51 +0200<BR>&gt; From: frobert@balabit.hu<BR>&gt; To: syslog-ng@lists.balabit.hu<BR>&gt; Subject: Re: [syslog-ng] AIX Syslog Messages<BR>&gt; <BR>&gt; Hi,<BR>&gt; <BR>&gt; did you try setting the keep_hostname(yes) global option?<BR>&gt; <BR>&gt; Robert<BR>&gt; <BR>&gt; On 07/05/2011 09:05 PM, Ricardo Oliveira wrote:<BR>&gt; <BR>&gt; &gt; Hi,<BR>&gt; &gt;<BR>&gt; &gt; I'm having some problems properly storing messages received from AIX servers.<BR>&gt; &gt; The format which they come in is like this:<BR>&gt; &gt;<BR>&gt; &gt; "Jul 5 19:30:59 Message forwarded from server2: su: from root to ..."<BR>&gt; &gt;<BR>&gt; &gt; According to a thread on this mailing list<BR>&gt; &gt; (https://lists.balabit.hu/pipermail/syslog-ng/2006-October/009372.html), and if<BR>&gt; &gt; I understood correctly, this should be OK, and I should get the expected<BR>&gt; &gt; behaviour of replacing this with the form:<BR>&gt; &gt;<BR>&gt; &gt; "Jul 5 19:30:59 server2 su: from root to ..."<BR>&gt; &gt;<BR>&gt; &gt; However, what I get in the log is:<BR>&gt; &gt;<BR>&gt; &gt; "Jul 5 19:30:59 192.168.1.1 su: from root to ..."<BR>&gt; &gt;<BR>&gt; &gt; Where the 192.168.1.1 is the IP of the machine I got the message from and not<BR>&gt; &gt; the name of the server (server2 in this case).<BR>&gt; &gt;<BR>&gt; &gt; The issue here is that these messages belong to several machines which are<BR>&gt; &gt; sending their syslog messages to a NIM server which in turn forwards them to our<BR>&gt; &gt; syslog server, so the IP we end up with is not the machine's IP, but rather the<BR>&gt; &gt; NIM server IP, which is not what we need.<BR>&gt; &gt; I tried parsing the message on arrival, but it doesn't work, I suppose it's<BR>&gt; &gt; because syslog-ng processes it before the parsers kick in.<BR>&gt; &gt;<BR>&gt; &gt; Is there a way to do this?<BR>&gt; &gt;<BR>&gt; &gt; TIA,<BR>&gt; &gt; Ricardo.<BR>&gt; &gt;<BR>&gt; &gt;<BR>&gt; &gt;<BR>&gt; &gt; ______________________________________________________________________________<BR>&gt; &gt; Member info: https://lists.balabit.hu/mailman/listinfo/syslog-ng<BR>&gt; &gt; Documentation: http://www.balabit.com/support/documentation/?product=syslog-ng<BR>&gt; &gt; FAQ: http://www.balabit.com/wiki/syslog-ng-faq<BR>&gt; &gt;<BR>&gt; <BR>&gt; <BR>&gt; ______________________________________________________________________________<BR>&gt; Member info: https://lists.balabit.hu/mailman/listinfo/syslog-ng<BR>&gt; Documentation: http://www.balabit.com/support/documentation/?product=syslog-ng<BR>&gt; FAQ: http://www.balabit.com/wiki/syslog-ng-faq<BR>&gt; <BR></DIV>                                               </div></body>
</html>